Introducción
Las instituciones financieras se enfrentan a una nueva realidad: la ciberresiliencia ha pasado de ser una buena práctica a una necesidad operativa y a un requisito regulatorio prescriptivo.
Los ejercicios de gestión de crisis o de mesa, que durante mucho tiempo fueron relativamente poco frecuentes en el contexto de la ciberseguridad, se han vuelto obligatorios, ya que una serie de reglamentos han introducido este requisito en las organizaciones de la FSI en varias regiones, entre ellas DORA (Ley de Resiliencia Operacional Digital) en la UE; CPS230//CORIE (Ejercicios dirigidos por la inteligencia de resiliencia cibernética operativa) en Australia; TÉRMINO MÁSCO (directrices de gestión de riesgos tecnológicos de la Autoridad Monetaria de Singapur); Resiliencia operativa de la FCA/PRA en el Reino Unido; el Manual de TI de la FFIEC en los EE. UU., y el Marco de ciberseguridad de SAMA en Arabia Saudí.
Lo que hace que el cumplimiento de estos requisitos reglamentarios sea complejo es la colaboración interfuncional entre los equipos técnicos y no técnicos. Por ejemplo, es necesario simular los aspectos técnicos de un ciberincidente (en otras palabras, trabajar en equipo), si no precisamente al mismo tiempo, sin duda dentro del mismo programa de resiliencia, en el mismo contexto y con muchos de los mismos insumos y resultados. Esto es más fuerte en la normativa basada en la TÍBER-EU framework, particularmente CORIE y DORA.
Siempre hay Excel
A medida que los requisitos se vuelven más prescriptivos y las mejores prácticas se establecen, lo que antes era un ejercicio de mesa basado en un simple archivo de Excel con una breve serie de eventos, marcas de tiempo, personas y comentarios, se ha convertido en una serie de escenarios, guiones, análisis del panorama de amenazas, perfiles de actores de amenazas, TTP e IOC, carpetas de informes de amenazas, herramientas de hackeo, inyecciones e informes, todos los cuales deben revisarse, prepararse, ensayarse, reproducirse, analizados y reportados, al menos una vez al año, si no por trimestre, si no de forma continua.
Si bien Excel es un referente en cada uno de los dominios cibernético, financiero y de GRC, incluso tiene sus límites en estos niveles de complejidad.
Combinando la simulación de Tabletop y Red Team
Durante los últimos años, Filigrán ha avanzado Abrir AEV hasta el punto de poder diseñar y ejecutar escenarios de extremo a extremo que combinen las comunicaciones humanas con los eventos técnicos. Inicialmente se lanzó como una plataforma de gestión de simulaciones de crisis, pero más tarde incorporó la simulación de brechas y ataques y, ahora, la gestión holística de la exposición ante situaciones adversas, lo que proporciona una capacidad única para evaluar la preparación tanto técnica como humana.
|
| Las simulaciones son más realistas cuando las alertas de cifrado de ransomware van seguidas de correos electrónicos de usuarios confundidos |
Combinar estas dos capacidades en una sola herramienta tiene muchas ventajas. Para empezar, simplifica enormemente el trabajo de preparación del escenario. Tras analizar el panorama de las amenazas en OpenCTI (una plataforma de inteligencia sobre amenazas), un informe de inteligencia pertinente puede utilizarse tanto para generar las inyecciones técnicas basadas en las TTP del atacante, como para incluir contenido como las comunicaciones con el atacante, las comunicaciones con el centro de operaciones de seguridad de terceros y las comunicaciones gestionadas de detección y respuesta, y para las comunicaciones con los líderes internos, basándose en la información y la cronología del mismo informe.
Hacer un seguimiento del equipo
El uso de una sola herramienta también deduplica la logística antes, durante y después del ejercicio. Los «actores» del ejercicio, sus equipos y unidades organizativas, pueden sincronizarse con las fuentes empresariales de gestión de identidades y accesos, de modo que los destinatarios de las alertas de eventos técnicos durante el ejercicio sean los mismos que los que reciben correos electrónicos simulados de crisis de los componentes de mesa; los mismos que reciben los cuestionarios de comentarios automatizados para la revisión inmediata después del ejercicio; y los mismos que aparecen en los informes finales para su revisión por parte del auditor.
|
| OpenAEV puede sincronizar los detalles actuales del equipo, los participantes y los analistas de múltiples fuentes de identidad. |
Del mismo modo, si se vuelve a realizar el mismo ejercicio después de haber puesto en práctica las lecciones aprendidas, como parte de la mejora continua demostrable que requieren DORA y CORIE, esta sincronización mantendrá una lista de contactos actualizada para las personas que desempeñan estas funciones o, de hecho, para los canales alternativos de comunicación de crisis fuera de banda y árbol telefónico que también se mantienen actualizados, y para terceros, como MSSP, MDR y proveedores de la cadena de suministro ascendente.
Existen eficiencias similares en el seguimiento del panorama de amenazas, el mapeo de informes de amenazas y otras funciones. Como ocurre con todos los procesos empresariales, la racionalización de la logística aumenta la eficiencia, ya que permite reducir los tiempos de preparación y hacer simulaciones más frecuentes.
Cómo elegir el momento
Dado que las regulaciones de CORIE y DORA han entrado en vigor hace relativamente poco, la mayoría de las organizaciones recién comenzarán su andadura en la ejecución de escenarios de mesa y equipos rojos, y aún queda mucho por refinar en el proceso. Para estas organizaciones, ejecutar simulaciones combinadas puede parecer un primer paso demasiado largo.
Esto está bien Los escenarios se pueden ejecutar en OpenAEV de formas más discretas. Por lo general, esto puede implicar la ejecución de una simulación en equipo rojo el primer día para probar los controles técnicos preventivos y detectivescos y los procesos de respuesta del SOC. El ejercicio de mesa se realizaría entonces el segundo día, y podría modificarse para reflejar las conclusiones y los tiempos del ejercicio técnico.
|
| Las simulaciones se pueden programar para que se repitan durante días, semanas o meses |
Lo que es más interesante, las simulaciones se pueden programar y ejecutar durante períodos de tiempo mucho más largos, incluso meses. Esto permite la automatización y la gestión de situaciones más complicadas, pero muy reales, como dejar señales de intrusión en los hosts con antelación y desafiar a los equipos de SOC, IR y CTI para que demuestren su capacidad para recuperar los registros del archivo con el fin de buscar al paciente cero, el primer sistema comprometido. Esto puede resultar difícil de modelar de forma realista en una simulación diaria, pero en la realidad es un requisito demasiado común.
La práctica hace al maestro
Además de los requisitos reglamentarios, las condiciones del seguro, la gestión de riesgos y otros factores externos, la capacidad de optimizar las simulaciones de ataques y los ejercicios de mesa para las amenazas actuales y relevantes, con todas las integraciones técnicas, la programación y la automatización que permiten esto significa que sus equipos de seguridad, liderazgo y gestión de crisis desarrollarán una memoria y un flujo musculares que generarán confianza en la capacidad de su organización para gestionar una crisis real cuando se produzca la próxima.
Tener acceso a una herramienta como OpenAEV, que es gratuita para uso comunitario, con una biblioteca de escenarios comunes de ransomware y amenazas, integraciones técnicas con SIEM y EDR y un ecosistema de integración de código abierto y ampliable, es una de las muchas maneras en las que podemos ayudar a mejorar nuestras ciberdefensas y ciberresiliencia. Y, sin olvidar, nuestro cumplimiento.
Y cuando tu equipo está completamente preparado y tiene confianza para manejar situaciones de crisis, entonces ya no es una crisis.
¿Estás listo para dar el siguiente paso?
Para profundizar en cómo las organizaciones pueden convertir los mandatos regulatorios en estrategias de resiliencia viables, únase a una de las próximas sesiones dirigidas por expertos de Filigran:
Operacionalización de la respuesta a los incidentes: ejercicios de mesa listos para el cumplimiento con una plataforma AEV
- 20 de noviembre, de 11:00 a.m. a 12:00 p.m. CET (Sesión europea)
- 20 de noviembre, de 13:00 a 14:00 EST (sesión de Norteamérica)